烟草企业网络安全防护体系建设初探

烟草企业网络安全防护体系建设初探

赵星辰

河南中烟工业有限责任公司黄金叶生产制造中心河南省郑州市450000

摘要：烟草企业管理者必须清醒认识到，利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋，绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战，以实事求是的态度，大力依托信息网络安全技术，构建更为安全的防护体系，为企业做大做强奠定坚实的基础。

关键词：烟草企业；网络安全防护；体系建设

引言

随着信息化的逐步发展，国内烟草企业也愈加重视利用网络提高生产管理销售水平，打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时，也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此，越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。

1烟草公司信息网络安全面临的威胁

1.1外部威胁

病毒传播、黑客攻击、垃圾邮件泛滥等已成为影响最为广泛的安全威胁。

1.1.1计算机病毒

计算机病毒具有传染性、隐蔽性、潜伏性、可激发性、破坏性等特点，令人防不胜防，计算机病毒已经成为计算机网络最大的安全隐患之一。计算机病毒对信息网络安全威胁极大，轻者影响计算机运行速度，抢占资源，重者破坏数据文件，窃取秘密资料，造成信息网络系统瘫痪。目前，烟草行业网络建设相当完善，主干网络通过网络专线连接各县局，市级公司有独立的互联网出口，日常经营活动工作主要依靠信息网络平台支撑实现，雄厚的信息网络资源也为病毒传播提供了便捷，一旦病毒泛滥，造成的损失将是不可估量的。

1.1.2黑客攻击

黑客攻击是指黑客破解或破坏某个程序、系统及网络安全，或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。黑客攻击是一种高智能、高技术的犯罪形式，并且随着各种攻击软件日益增多，黑客攻击也变得越来越普遍，据不完全统计，85%个人计算机使用者担心黑客入侵，由此可见黑客攻击的普遍性。黑客攻击给信息网络系统与用户信息的安全带来严重的威胁与挑战。

1.2内部威胁

公安部曾作过统计，70%的泄密犯罪来自于内部，电脑应用单位80%未设立相应的安全管理体系，58%无严格的管理制度。目前烟草企业存在信息安全管理制度不健全或贯彻落实不够；员工的安全防范意识不强；构建安全体系的资金投入与运维现状需求存在矛盾等因素，导致安全管理层面的安全措施及安全技术难以有效实施。如果相关技术人员违规操作，即便有最好的安全技术的支持，也保证不了信息网络安全。另外由于认知能力和技术发展的局限性，在软件和硬件设计的过程中，难免留下技术缺陷，存在一定的薄弱环节和不安全因素，造成信息网络的安全隐患。

2烟草企业网络安全防护体系建设现状

2.1业务应用集成整合不足

不少烟草企业防护系统在建设上过于单一化、条线化，影响了其纵向管控上的集成性和横向供应链上的协同性，安全防护信息没有实现跨部门、跨单位、跨层级上的交流，相互之间不健全的信息共享机制，滞后的信息资源服务决策，影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计，致使信息化建设未能形成整体合力。

2.2信息化建设特征不够明显

网络安全防护体系建设是现代烟草企业的重要标志，但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合，对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标，缺乏宏观角度上的沟通协调，致使在信息化建设中，业务、管理、技术“三位一体”的要求并未落到实处，影响了网络安全防护的效果。

2.3安全运维保障能力不足

缺乏对运维保障工作的正确认识，其尚未完全融入企业信息化建设的各个环节，加上企业信息化治理模式构建不成熟等原因，制约了企业安全综合防范能力与运维保障体系建设的整体效能，导致在网络威胁的防护上较为被动，未能做到主动化、智能化分析，导致遭受病毒、木马、钓鱼网站等反复侵袭。

3烟草企业网络安全防护体系建设的策略

3.1依据网络防护基础原则

地市级烟草企业在构建网络安全防护体系的过程中，必须要明确防护的目标以及基本原则，只有这样，才能够从逻辑层面正确划分网络安全防护体系，从而开展更具有针对性的防护策略，提升烟草企业网络安全防护体系的防护能力。与此同时，还应该对工作过程中发现的一些安全问题开展更加深入的探讨，并对其拆分、归类、总结，把抽象的问题具象化、把繁杂的问题简单化，从而使得网络防护工作更容易进行开展。对烟草企业本身的内部网络安全防护工作来讲，应该按照不同的功能对其进行划分，并采取针对性的策略对不同区域进行防护。还有，应该持续健全网络安全防护体系标准，使得多种网络安全防护体系实现良好沟通，从而使得各种资源得到更加充分的运用，最终有效增强烟草企业网络安全防护能力。

3.2合理确定网络安全区域

烟草企业在使用网络过程中，不同的区域所担负的角色是不同的。为此，内部网络，在设计之初，应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时，对生产、监管、流通、销售等各个环节，要根据其业务特点强化对应的网络使用管理制度，既能实现网络安全更好防护，也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时，不能以偏概全、一蹴而就，应本着实事求是的态度，根据企业实际情况，以现有的网络安全防护为基础，有针对性地进行合理的划分，才能取得更好的防护效果。

3.3提升员工安全防护意识

技术防护手段效果再好，员工信息安全防护意识不佳，系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心，统一对企业网络安全防护系统进行管理培训，各部门、各环节也要设立相应岗位，负责本岗位的网络使用情况。账号使用、信息发布、权限确定等，都要置于信息管理培训中心的制约监督下，都要在网络使用制度的规则框架中，杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育，提升其网络安全防护意识，使其认识到安全防护体系的重要性，从而使每个人都能依法依规地使用信息网络。

3.4健全网络安全防护制度

构建一套切合实际、行之有效的安全制度是信息安全体系发展的基础。任何一个成功的机构、组织、企业的背后，一定有它们规范性与创新性的管理制度作为支持，在规范性地管理着日常活动，保证流程和效率。在信息网络安全管理方面也是同样如此，管理制度的是否完善、规范，一定程度上决定了一个企业信息网络安全的程度。企业网络安全管理的组织构架：实行分管领导负责制，分管领导直接负责领导信息化建设，信息化领导小组下设信息中心，负责网络安全方面的具体事务，各县局设兼职或专职负责安全的系统管理员，在组织构架上保证企业安全体系的执行。

结束语

总之，对计算机网络信息安全的防护是一项系统工程，任何单一的防护措施都不是万无一失的。烟草企业在建设网络安全防护体系的过程中需要建立完善的机制，有效的监督执行，实时动态调整，变被动防御为主动防御，这样才能真正保障整个企业网的安全、稳定运行。

参考文献：

[1]匡建华.新技术发展环境下的烟草网络安全建设和管理[J].中国新通信.2016（18）

[2]赖如勤，郭翔飞，于闽.地市烟草信息安全防护模型的构建与应用[J].中国烟草学报.2016（04）

[3]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术.2012（05）